Veröffentlicht 12. Februar 200421 j Hiho, fast jeder IRC'ler der mit mIRC unterwegs is, kennt wahrscheinlich schon die netten Würmer die sich per Link verbreiten ... ich bin zwar selber ned mIRC'ler aber wollte nem bekannten helfen ... Also mIRC auf die Kiste und fein nen Wurm eingefangen ... naja direkt den lieben Kollegen eingekreist und identifiziert: Backdoor.SdBot.cy der Kollege hat sich an einigen Stellen verewigt und versuchte sich mit 2 Instanzen am Leben zu halten ... naja hat ihm ned viel gebracht ... Wurm wech, Patien fast glücklich ... nach der Wurm Attacke bestand bei dial-in Connection der Ident aus einen vom Wurm produzierten String. z.B.: Nickname![LL]32864@host.com die Zahl nach dem [LL] ist irgendwie Random ... naja viel gesucht und wenig gefunden ... ich bekam dieses [LL] ned weg ... zu allem übel scheint sich das auf alle von Windows ausgehende IRC Programme auszubreiten bzw. hat es schon getan ... ich stutzte schon sehr als ich es selbst bei pIRCh sah ... hat einer eine Idee wie man das noch entfernen kann? Wurm hätte ich für Leute die es interessiert noch isoliert auf der Platte Danke Gruß Pico
13. Februar 200421 j Lass mal Antivirus drüber laufen und entferne die unnötigen einträge asu Registry. gruß, Alex
13. Februar 200421 j ich bin Irc´ler und kenne diese Probleme, mit dem "verwurmten links". seit ich XP Antivier habe, gibt es keine Probleme mehr, da der AV Guard sofort alarm schlägt, wenn man auf solch einen link klickt.
18. Februar 200421 j Autor entfernt is das ding ja, ich denke der hat sich nur irgendwo in die reg eingefressen ... die frage ist nur wo, da es alle irc verbindungen betrifft wo der ident vom client vergeben wird ... von antivirsenprogs halt ich ned so wirklich viel, die machen manchmal mehr kaputt als sonstwas ...
19. Februar 200421 j Autor nachtrag (leider erst später eingefallen): der produziert ja ne dynamische zahl nach dem [LL] ... ich frag mich wie das zustande kommt, kann ja ned nur reg eintrag sein ... und zu den virenprogs ... falls ich eins drüber laufen lassen würd, würd das in den meisten fällen die ursache haben das der wurm zwar komplett wech is, aber ich ned 100% weiss wo der überall sich verewigt hat, genau das will ich ja rausfinden ;\ btw: zu dem thema hat meltdown, nen nettes tcl script für eggdrops geschrieben was gepostete url's scannt ... scheint ganz nett zu sein ... is auf egghelp.org bei den tcl scripts unterm autor "meltdown" zu finden.
28. Februar 200421 j Autor nochmal nachtrag: is mir heut mal aufgefallen: der macht das [LL] sogar wenn ich über eine reine telnet verbindung chatte hat jemand eine ahnung, wo der sich reingeschrieben haben muss das das bei jeder verbindung passiert ?
5. März 200421 j Hi, macht der das nur wenn mIRC auch läuft oder sonst auch ? Wenn das nur auftritt wenn mIRC läuft könnte es schonmal am identd Server von mIRC hängen. Ich vermute mal das in dem Fall noch irgendwo ein Script unter mIRC läuft das diese komischen Idents generiert. Um das zu überprüfen installiere ma probeweise eine frische Version von mIRC oder schau unter den scripten (ab mIRC 6.xx unter dem Symbol mit dem /a, 5tes von links oben) Schau besonders beim tab Remote und klick dann mal den Menüpunkt View an dann siehste du wie viele Scripts geladen sind. Probeweise kannst du dann mal die verdächtigen Kandidaten entladen ( /unload -rs scriptname.mrc oder evtl andere Endung) Grüsse, Chris
9. März 200421 j Autor hab doch schon geschrieben das der das bei jeder irc verbindung tut ... egal ob mirc, pirch oder sogar per telnet ich weiss nix über nen internen identd von windows ... nie was von gehört vielleicht weiss jemand was dadrüber oder wo der zu finden is und zu konfigurieren ist
16. März 200421 j Gib uns mal einen kleinen Überblick über den Rechner und die Netzanbindung vielleicht können wir dir dann helfen... Welches Windows läuft da drauf? Laufen irgendwelche ungewöhnlichen Dienste oder Prozesse? Werden irgendwelche ungewöhnlichen Programme in den Autostart-Ordnern der Registry gestartet? Läuft evtl. ein Webbrowser nebenher, der IRC/identd unterstützt? (Mozilla/Chatzilla, Opera 7.5, ... ) Ist der Rechner direkt per Modem, ISDN, DSL-Karte, Kabelmodem, ... mit dem Internet verbunden oder läuft die Verbindung über einen (Einwahl-)Router?
17. März 200421 j Autor T-DSL über normales DSL modem und netzwerkkarte und WinXP pro ich kann alles killen was ich ned brauch damit das system läuft und dann per telnet ins IRC connecten ... bleibt genau das selbe ich tippe also auf nen identd service bei windows, hab nur keine ahnung wo ich den finde ...
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.